Andrey Leonov รายงานถึงช่องโหว่ ImageMagick ที่พบบนเซิร์ฟเวอร์ของเฟซบุ๊ก ช่วงเดือนตุลาคมปีที่แล้ว โดยเฟซบุ๊กจ่ายเงินรางวัลสำหรับรายงานนี้ถึง 40,000 ดอลลาร์ นับเป็นการรายช่องโหว่ความร้ายแรงงสูง

ช่องโหว่ ImageTragick เปิดให้แฮกเกอร์สามารถสั่งรันคำสั่งใดๆ บนเครื่องเซิร์ฟเวอร์ก็ได้ ตัว Leonov ทดสอบช่องโหว่นี้บนภาพจากภายนอกที่ส่งลิงก์เข้าไปยังเฟซบุ๊ก ทำให้เฟซบุ๊กดึงภาพเข้ามาแล้วปรับขนาด

เซิร์ฟเวอร์ของเฟซบุ๊กป้องกันไว้ด้วยไฟร์วอลล์ทำให้ไม่สามารถเชื่อมต่อออกมาภายนอกได้ แต่ Leonov อาศัยการทำ DNS query เพื่อส่งข้อมูลกลับมายังโดเมนที่เขาควบคุมเอาไว้ ทำให้สามารถดึงข้อมูลจากไฟล์ /proc/version เพื่อแจ้งช่องโหว่ไปยังทีมงานความปลอดภัยของเฟซบุ๊ก

เฟซบุ๊กแก้ไขช่องโหว่นี้ภายใน 3 วันหลังรายงานครั้งแรก และตัดสินให้เงินรางวัล 40,000 ดอลลาร์หลังจากรายงาน 12 วัน แต่การเปิดเผยช่องโหว่อนุมัติหลังจากรายงานไปสองเดือน

ที่มา - Andrey Leonov